In de ban van transparantie

Peter 2015 kl_410x615

In de afgelopen maanden is de druk op IT-producten van verdachte leveranciers behoorlijk toegenomen. Vooral Kaspersky Lab en Huawei moeten alle zeilen bijzetten om niet volledig in het verdomhoekje te worden gezet. De druk die de laatste tijd vanuit de Verenigde Staten wordt gezet om Huawei uit Europese mobiele netwerken te weren, neemt absurde vormen aan.

Zo absurd zelfs, dat Europese landen puur uit baldadigheid tegen de niet eens verholen Amerikaanse dreigementen publiekelijk beginnen te verklaren Huawei een eerlijke kans te geven.

En natuurlijk omdat men zonder Huawei vreest een technische achterstand op te lopen bij de race naar 5G.

Het is jammer dat de hele discussie zo op de man wordt gespeeld. Iedereen die zich met IT-security bezighoudt weet immers dat samenwerking de sleutel tot succes is. Als we niemand meer kunnen of willen vertrouwen, dan kunnen we net zo goed alles weer uit de cloud halen en het internet laten opdoeken. Maar als we iedereen zo maar vertrouwen, weten we zeker dat het misgaat. Mijn mailbox, gelukkig vooral de spamfilter, zit vol met berichten van mensen die mij hun erfenis gunnen, in mijn bedrijf willen investeren, of mij vriendelijk vragen om mijn inloggegevens in te voeren. Die mensen vertrouw ik bijvoorbeeld weer liever niet. Dus waarom zou ik dan technologieleveranciers blindelings moeten vertrouwen?

We kunnen niemand blind vertrouwen. Dat moet het beginpunt zijn. Zelfs als een leverancier te goeder trouw is, biedt dat immers geen garantie dat hun technologie niet misbruikt wordt. Waarom zijn we anders constant aan het patchen (u toch ook?). Als we niemand zo maar vertrouwen, hoe creëren we dan toch een werkbare situatie? Aan de ene kant kunnen we daar zelf wat aan doen. Steeds meer organisaties begrijpen dat ze ervan uit moeten gaan dat met enige regelmaat de IT-beveiliging zal worden omzeild. Om schade te voorkomen of te beperken is het noodzakelijk om diverse beveiligingen op diverse niveaus in te richten, op netwerkniveau, applicatieniveau en dataniveau.

En eigenlijk ook op device- en gebruikersniveau. Als iemand bijvoorbeeld bij data kan, laat die dan onbruikbaar zijn.

Natuurlijk wil je ook een goed inzicht hebben in de betrouw­baarheid van producten en leveranciers. Maar aangezien dat zeer tijdsintensief is en toch wel de nodige specialisaties vereist, ga je dat als klant meestal niet zelf doen. Open source security­producten kunnen hier een oplossing zijn, doordat je kan leunen op een community van gebruikers en ontwikkelaars die niet (allemaal) in dienst zijn bij de leverancier van het product. Maar ook dat is niet altijd en overal een optie. Onder druk van de (mogelijke) bans op Kaspersky en Huawei zien we dat ze qua transparantie een vlucht naar voren maken: ze maken het mogelijk om binnen een afgeschermde omgeving de broncode van hun software in te zien. Hoewel ze in theorie daar een ‘schone’ versie aan de onderzoeker voor zouden kunnen schotelen, lijkt me dat toch een wat al te cynische opvatting. Feit is dat de software van Huawei en Kaspersky nu buitengewoon veel transparantie biedt, iets wat we eigenlijk best ook wel graag van andere leveranciers zouden willen zien.

En tenslotte kan de overheid een bijdrage leveren. Als de overheid een helder proces heeft waarbij op basis van duidelijk omschreven criteria producten en daarmee leveranciers op hun betrouwbaarheid worden geëvalueerd, kunnen op basis daarvan vrijblijvende of zelfs bindende adviezen worden gegeven omtrent het samenwerken met bepaalde leveranciers. Op dit moment bestaat dit proces niet. Er is geen bewijs gedeeld die de bans tegen Kaspersky Lab en Huawei duidelijk onderbouwen. Dan wordt het ook moeilijk om deze verdenkingen te ontkrachten.

Let wel, een dergelijke ban is een heftig middel dat een grote impact heeft op de verkoopcijfers. En het levert ook niet veel op qua veiligheid: consumenten en bedrijven gaan niet meer zo snel een product aanschaffen, maar ze gaan, zo heeft Pb7 Research onderzocht, deze producten ook niet versneld uitfaseren.

Bottom line: het is goed dat ook de overheid kijkt naar de betrouwbaarheid van leveranciers, maar daar hoort een zorgvuldig en transparant proces bij.

Peter Vermeulen is directeur bij Pb7 Research